A、 配置ACL 3000拒绝源为10.1.2.0/24目的为10.1.3.0/24的流量,在GE0/0/0调用inbound方向的traffic-filter调用ACL 3000
B、 配置ACL 3000拒绝源为10.1.3.0/24目的为10.1.2.0/2的流量,在 GE0/0/1调用inbound方向的traffic-filter调用ACL 3000
C、 配置ACL 3000拒绝源为10.1.3.0/24目的为10.1.2.0/24的流量,在GE0/0/0调用outbound方向的trafric-filter调用ACL 3000
D、 配置ACL 3000拒绝源为10.1.2.0/24目的为10.1.3.0/24的流量, 在 GE0/0/1调用outbound方向的 traffic-filter调用ACL 3000
答案:ABCD
解析:解析:需要跟随数据报文的传递方向,确定traffic-filter的调用方向。拒绝接收报文用inbound,拒绝发送报文用outbound。题目中各选项的部署方式都是正确的。
A、 配置ACL 3000拒绝源为10.1.2.0/24目的为10.1.3.0/24的流量,在GE0/0/0调用inbound方向的traffic-filter调用ACL 3000
B、 配置ACL 3000拒绝源为10.1.3.0/24目的为10.1.2.0/2的流量,在 GE0/0/1调用inbound方向的traffic-filter调用ACL 3000
C、 配置ACL 3000拒绝源为10.1.3.0/24目的为10.1.2.0/24的流量,在GE0/0/0调用outbound方向的trafric-filter调用ACL 3000
D、 配置ACL 3000拒绝源为10.1.2.0/24目的为10.1.3.0/24的流量, 在 GE0/0/1调用outbound方向的 traffic-filter调用ACL 3000
答案:ABCD
解析:解析:需要跟随数据报文的传递方向,确定traffic-filter的调用方向。拒绝接收报文用inbound,拒绝发送报文用outbound。题目中各选项的部署方式都是正确的。
A. IGMP SSM Mapping收到IGMPv3的报告报文也正常处理
B. 如果路由器上没有组播组地址对应的SSM Mapping静态映射关系,则收到该报告报文时会丢弃该报文
C. SSM组播组的地址时232.0.0.0~232.255.255.255.255
D. IGMP SSM Mapping通过静态的将组播源与组播组进行绑定,使得IGMPv1与IGMPv2的组成员也能接入SSM组播网络
解析:解析:IGMP SSM Mapping不处理IGMPv3的报告报文。为了保证同一网段运行任意版本IGMP的主机都能得到SSM服务,需要在与成员主机所在网段相连的组播路由器接口上运行IGMPv3。对于选项“如果路由器上没有组播组地址对应的SSM Mapping静态映射关系,则收到该报告报文时会丢弃该报文”,要加前提,如果组播地址在ASM(Any-Source Multicast)范围内,则只提供ASM服务;如果组播地址在SSM组地址范围内(缺省情况下为232.0.0.0~232.255.255.255),如果路由器上没有组播地址对应的SSM Mapping规则,则无法提供SSM服务,丢弃该报文。
A. 缺省情况下,一个IS-IS进程 下最多可配置3个区域地址
B. NSAP地址由IDP和DSP两部分组成
C. 在NSAP地址结构中,SEL的作用类似IP中的“协议标识符”,在IP上SEL均为01
D. NSAP是0SI协议栈中用于定位资源的地址,主要用于提供网络层和上层应用之间的接口
解析:解析:SEL的作用类似IP中的“协议标识符”,不同的传输协议对应不同的SEL。在IP上SEL均为00。所以选项“在NSAP地址结构中,SEL的作用类似IP中的“协议标识符”,在IP上SEL均为01”的描述是错误的,其他选项正确。
A. 第二类外部路由的开销值只是AS外部开销值,忽略AS内部开销值
B. AS-External-LSA不属于任何区域
C. AS-External-LSA描述到AS外部路由的路径泛洪的范围到AS外部
D. AS-External-LSA不属于任何区域描述的是路由器到ASBR的路径
解析:解析:AS-External-LSA泛洪的范围不到AS外部,而是除特殊区域的所有OSPF区域。ASBR-Summary-LSA描述的才是路由器到达ASBR的路径。
A. IP路由不可达
B. 禁用TCP 179端口
C. 光缆中断
D. 邻居配置信息错误
解析:解析:BGP邻居之间使用的 TCP 协议,并且目标端口号是179,如果光缆断裂,或IP路由不可达,或者禁用TCP 179 ,或者peer命令后面的参数配置错误,都会导致邻居无法建立。
A. BGP邻居之间可以使用Keychain认证来降低被攻击的可能性,而且Keychain具有一组密码,可以根据配置自动切换
B. 可以通过display bgp peer verbose命今查看BGP对等体的认证详细信息
C. 在配置MD5认证密码时,如果使用simple选项,密码将以明文形式保存在配置文件中,存在安全隐患
D. 为防止攻击者模拟真实的BGP协议报文对设备进行攻击,可以配置GTSM功能检测IP报文头中的TTL值
解析:解析:BGP认证分为MD5认证和Keychain认证,对BGP对等体关系进行认证是提高安全性的有效手段。MD5认证只能为TCP连接设置认证密码,而Keychain认证除了可以为TCP连接设置认证密码外,还可以对BGP协议报文进行认证。所以本题全选。
A. Hello
B. LSP
C. PSNP
D. CSNP
解析:解析:区域认证是针对ISIS协议的Level-1的 LSP和CSNP以及PSNP报文的加密认证。
A. 正确
B. 错误
解析:解析:STA获取一个IPv4或者一个IPv6地址,则认为STA获取地址成功。
A. 正确
B. 错误
解析:解析:default-route-advertise命令会将该路由器变成ASBR,所以题目中的描述是错误的。
A. 二层ACL编号范围:6000~6999
B. 用户自定义ACL编号范围:5000~5999
C. 用户ACL,7000~7999
D. 基本ACL编号范围:2000~2999
E. 高级ACL编号范围:3000~4999
解析:解析:基本ACL:2000~2999。高级ACL:3000~3999。二层ACL:4000~4999。用户自定义ACL:5000~5999。用户ACL:6000~6031。所以本题选择“用户自定义ACL编号范围:5000~5999”、“基本ACL编号范围:2000~2999”。
A. 一个区域的路由器能够了解他们所在区域外部的拓扑细节
B. 能够减少LSDSB的大小从而降低了对路由器内存的消耗
C. LSA也能够随着区域的划分而减少,降低了对路由器CPU的消耗
D. 大量的LSA泛洪扩散被限制在单个区域
解析:解析:拓扑细节在1类LSA中,而1类LSA只能在一个区域内泛洪,所以本区域无法了解其他区域的拓扑细节,选项“一个区域的路由器能够了解他们所在区域外部的拓扑细节”是错误的,其他选项都正确。
